Deloitte Consulting Blog

Durch den vermehrten Einsatz von IT-Systemen und die Nutzung moderner Kommunikationsmethoden (Web-Applikationen) gewinnen die Themen Datenschutz und Datensicherheit immer mehr an Bedeutung.

Das Thema der Informationssicherheit spielt vor allem im Gesundheitswesen eine wesentliche Rolle. Im Rahmen der Anamnese und der medizinischen Behandlung von Patienten werden entsprechende patientenbezogene Daten aufgenommen und gespeichert. Da es sich hierbei um persönliche medizinische Daten handelt, ist deren Schutz im höchsten Maße zu gewährleisten.

Grundsätze der Datensicherheit sind:

• Vertraulichkeit – Wer hat Zugang zu sensiblen Daten in den Systemen?
• Integrität – Wer kann unbemerkt oder unbewusst Daten löschen, kopieren oder verändern?
• Verfügbarkeit – Wer muss in der Lage sein, beispielsweise Bankdaten von Lieferanten zu ändern? Wer kann Zahlungsläufe starten?

Nachfolgende Fragen sollen die Bedeutsamkeit von Datensicherheit verdeutlichen:

• Welche Konsequenzen hätte eine beabsichtigte oder unbeabsichtigte Datenmanipulation von sensitiven Daten, wie Patienten oder Stammdaten, im Krankenhaus?
• Wird jedem Mitarbeiter lediglich die Information zur Verfügung gestellt, welche er für seine tägliche Arbeit benötigt?
• Wenn im Krankenhaus noch keine Datenmissbrauch festgestellt wurde, bedeutet es, dass wirklich keiner statt findet?
• Welche Form von Missbrauch wäre möglich, wenn vertrauliche Daten in die Hände Dritter gelangen?
• Entspricht das Unternehmen allen regulatorischen Anforderungen, wie Datenschutzgesetz, Risikomanagement und internen Kontrollsystem?

Im Zuge der Implementierung von administrativen und medizinischen Anwendungssystemen ist ein effektiver Zugriffs- und Datenschutz zu gewährleisten. Ein höherer Grad an Systemsicherheit sichert nicht nur transparente und effiziente Administrationsprozesse, sondern erhöht auch die Zuverlässigkeit und Arbeitsqualität von Mitarbeitern. Bei klinischen Prozessen ist eine entsprechend restriktive Rechtevergabe, sowie eine sichere Systemkonfiguration einschließlich einer nahtlosen Umsetzung unerlässlich.

Folgende Aspekte sind wesentliche Faktoren der IT-Systemsicherheit:

• Kritische Berechtigungen
• Systemparameter und allgemeine Zugriffssicherheit
• Funktionstrennung (Segregation of Duties)
• Sichere Administrationsprozesse und nachvollziehbare Dokumentation

Ein Schritt für mehr Datensicherheit ist die Implementierung und Umsetzung von restriktiven Berechtigungen. Sicherheit kann nicht im Versandhandel bestellt und eingekauft werden. Ein höheres Maß an Sicherheit kann nur durch kontinuierliche Weiterentwicklung der Standards geschaffen und erreicht werden.

Ein ganz wesentliches Element für mehr Datensicherheit ist die Sensibilisierung hinsichtlich der Nutzung von Informationen und Daten. Die Prozesse und Verantwortlichkeiten in Gesundheitseinrichtungen sind klar und eindeutig zu regeln. Unterstützt kann dieser Schritt durch die Einführung einer systemgestützten Risiko- und Compliance-Management-Lösung werden.

Michael Doppelmeier